2K Consulting

social1 social2  social4

Pověřenec/ poradce pro ochranu os. údajů

DPO – Pověřenec pro ochranu osobních údajů

Důležitým pilířem prokazování souladu s GDPR je jmenování tzv. pověřence pro ochranu osobních údajů neboli DPO (anglicky Data Protection Officer). Organizacím, které nemají možnost vytvořit tuto pozici interně v rámci vlastní zaměstnanecké struktury, nabízíme v rámci naší nabídky služby DPO externě pomocí auditorů, kteří se agendou zpracování osobních údajů zabývají dlouhodobě. Nabízíme také služby poradce pro ochranu osobních údajů pro ty, kteří si chtějí zajistit objektivitu a externí poradenství pro interního DPO.

***

PROČ SPOLUPRACOVAT PRÁVĚ S NÁMI V TÉTO OBLASTI?

  1. Jsme členy odborných komisí, které se podílejí na tvorbě legislativy v oblasti GDPR ve spolupráci s Úřadem pro ochranu osobních údajů a MV ČR a jinými institucemi v tuzemsku  i zahraničí.  K této problematice přednášíme i na seminářích a vystupujeme v médiích.
  2. Máme realizační tým, který je složený z odborníků v oblasti informační bezpečnosti, fyzické bezpečnosti, kybernetické bezpečnosti, právní oblasti, risk managementu a auditorské činnosti.  V případě řešení různých incidentů, umíme nabídnout odborníky z více oblastí a tím i komplexní a objektivní posouzení bezpečnostního incidentu.
  3. Splňujeme kritérium dopravní dostupnosti pro výkon funkce pověřence, včetně podmínky být pravidelně dostupný na pevné lince pro potřeby kontrolních a dozorových orgánů a subjekty údajů. Kanceláře máme v Praze, Olomouci, Ostravě.
  4. Máme uzavřenou pojistku za škodu způsobenou třetím osobám pro oblasti duševního vlastnictví (ochrana osobních dat a kybernetické bezpečnosti). Tato pojistka je určena pro finanční kompenzaci Vaší organizace v případě udělení sankce a nebo krytí náhrady škody fyzické osoby.
  5. V rámci výkonu našich služeb v případě krizové situace a operativního řešení bezpečnostních incidentu, držíme pracovní pohotovost 24/7 pro komunikaci s kontrolními a dozorovými úřady, Policii ČR.
  6. Členové realizačního týmu splňují mezinárodní standardy pro výkon této funkce dle Evropského nařízení a Radou EU: General Data Protection Regulation.  Zapojili jsme se do pilotního projektu Univerzity Karlovy v Praze v oblasti výkonu této činnosti formou celoživotního vzdělávání.  Naší odborníci mají i mezinárodní certifikaci pro oblast GDPR Risk Analysis & Data Protection Impact Assesment (DPIA).  Certifkáty a další osvědčení včetně CV realizačního týmu,  doložíme dle potřeby.

***

V RÁMCI VÝKONU FUNKCE POVĚŘENCE VYKONÁVÁME TYTO ČINNOSTI

dle nařízení Evropského parlamentu a Rady 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a dle dalších předpisů v oblasti ochrany osobních údajů.

 

  1. analýza a ověřování souladu vnitřních předpisů a procesů s právní úpravou v oblasti ochrany údajů včetně stanovení míry odpovědnosti; vyhodnocení rizik k danému obsahu údaje
  2. zvyšování povědomí a odborné přípravy pracovníků zapojených do operací zpracování osobních údajů a souvisejících auditů pro roli správce a zpracovatele
  3. sběr informací o zpracování osobních údajů a identifikace procesů zpracování osobních údajů;
  4. analýza k potřebnosti posouzení vlivu na ochranu osobních údajů a posouzení případných technických a organizačních opatření;
  5. informační, konzultační a metodická činnost v oblasti ochrany osobních údajů pro statutární zástupce, včetně poradenství zaměstnancům a případně dalším osobám podílejícím se na zpracování osobních údajů;
  6. vydávání stanovisek k navrhovaným opatřením pro zmírnění rizik v oblasti ochrany osobních údajů; ve lhůtě do 30 ti dnů, v případě bezpečnostního incidentu do 72 hodin.
  7. pravidelná kontrola záznamu zpracovatelských činnosti v agendě ve vztahu osobních údajů a monitorování jeho uplatňování; stanovení harmonogramu kontrol na místě.
  8. působení jako kontaktní místo pro subjekty údajů a pro dozorové úřady
  9. pravidelná komunikace s Úřadem pro ochranu osobních údajů ( ÚOOÚ) a Evropským sborem pro ochranu osobních údajů v případě úniku dat a podání žaloby fyzické osoby na právní subjekt.
  10. fyzická účast pověřence na místě v případě kontroly dozorového úřadu a nebo jiných institucí.
  11. zajištění pravidelného školení zaměstnanců a statutárních zástupců v oblasti ochrany osobních údajů formou fyzické účasti a formou elearningu zakončené kontrolním testem. Zaměstnavatel i zaměstnanec obdrží certifikát o absolvování kurzu.
  12. vyhotovení výroční zprávy o výkonu funkce pověřence
  13. zajištění provedení penetračních testů pro IT zařízení , které vedou ke zjištění úniku osobních dat.

***

Požadavky na DPO

Osobní dostupnost pověřence (fyzická ve stejných prostorách jako zaměstnanci, po horké lince nebo jiným zabezpečeným komunikačním prostředkem) je nezbytná, aby měl občan jistotu, že ho dokáže kontaktovat. Pověřenec je při výkonu svých úkolů vázán tajemstvím nebo důvěrností v souladu s právem Unie nebo členských států.

Nařízení dále v článku 38 odst. 2 ukládá správci či zpracovateli povinnost podporovat pověřence pro ochranu osobních údajů při plnění jeho úkolů tím, že mu poskytne zdroje nezbytné k plnění těchto úkolů, k přístupu k osobním údajům a operacím zpracování a k udržování jeho odborných znalostí.

Pracovní skupina WP29 vykládá požadavky na obsazení této role způsobem, kdy osoba obsazená v roli Pověřence je schopna prokázat:

  1. znalost národního a unijního práva v oblasti ochrany dat a hluboké znalosti Obecného nařízení (GDPR)
  2. praktické zkušenosti aplikace požadavků ochrany dat
  3. znalost prováděných zpracovatelských operací
  4. znalost informačních technologií a bezpečnosti dat
  5. znalost dané oblasti podnikání a organizace
  6. schopnost propagovat kulturu ochrany dat v organizaci

***

Poradce pro ochranu osobních údajů

Pokud jste jmenovali pověřence pro ochranu osobních údajů z interních zdrojů v rámci své organizační struktury, můžeme Vám nabídnout činnost PORADCE PRO OCHRANU OSOBNÍCH ÚDAJŮ. Poradce může nabídnout vedení společnosti externí nadhled pro zajištění bezchybného chodu organizace v oblasti nakládání s osobními údaji. Internímu DPO zase může být rádcem při vyhodnocení rizik či konfrontaci s ÚOOÚ. Pro zajištění objektivity se doporučuje realizovat generální reaudit, jehož účelem je kontrola přijatých opatření, správnost vyhodnocení bezpečnostních rizik a aktualizace zavedeného systému ochrany dat.

Služby poradce pro ochranu osobních údajů si můžete objednat kdykoliv v průběhu implementace GDPR před vstoupením v platnost i v průběhu aplikace GDPR v praxi. V některých zemích EU je externí poradce pro ochranu osobních údajů příkladem dobré praxe pro ověření funkčnosti systému a zajištění bezchybného chodu organizace v oblasti nakládání s osobními údaji.


2K Consulting s.r.o. © 2015